Contenu connexe
Similaire à 企业安全应急响应与渗透反击V0.04(程冲)
Similaire à 企业安全应急响应与渗透反击V0.04(程冲) (20)
企业安全应急响应与渗透反击V0.04(程冲)
- 2. 前言
2011年6月份我入职某企业安全部门来,截至到目前为止(已知)发生了5次安全事件
。每一次都暴露出互联网企业在安全工作中普遍比较容易被忽略或者遗漏的威胁和弱
点。
近期我对这5次安全事件,将工作中包括应急响应、安全改进、渗透反击等内容进行了
归纳和小结。结合大量的第一手截图、日志、信息、思路形成这份“应急响应与渗透
反击”,和大家一起分享与交流。
PPT中涉及到个人隐私和非法等信息,请以技术探讨的角度去理解。
程 冲
chong.cheng@hotmail.com
2
- 8. 开源团购
• 参考文档:http://www.80sec.com/nginx-securit.html
网站沦陷原因:2)NGINX与FASTCGI配置不当,导致任意扩展名文件被作为脚本解析 8
- 9. 开源团购
开源团购应急响应/渗透反击小结
应急方面:
1)入侵者根据已知安全弱点所进行的渗透测试行为;
2)从相关日志记录分析,渗透的深度与广度仅限于该服务器;
3)事后根据了解的信息,为两在校大学生所为;
改进方面:
1)公司网站应用后台管理规范的建设与整改;
2)对公司使用开源系统的梳理、版本/补丁升级;
3)对公司使用开源系统的安全黑盒/白盒检测;
9
- 22. 合作伙伴
合作伙伴应急响应/渗透反击小结
应急方面:
1)整理DedeCMS该版本所面临的安全威胁,根据WEB日志和攻击临时文件辅助判断;
2)服务器上应用网站基于纵向的WEBSHELL/ROOKIT的检测和清理;
3)网站应用业务数据的备份与网站应用DedeCMS补丁更新/升级;
改进方面:
1)公司IDC范围内的三方网站/合作伙伴业务应用的梳理;
2)公司网站应用与合作伙伴业务从系统和网络上进行隔离;
3)对攻击者所使用到的肉鸡进行了一些研究与学习……
22
- 36. 开发测试
开发测试应急响应/渗透反击小结
应急方面:
1)根据WEB日志和后门文件等辅助判断,确定入侵者所利用的漏洞;
2)相关服务器上应用网站基于纵向/横向的WEBSHELL/ROOKIT的检测与清理;
3)所有服务器TOMCAT管理后台的全线清理,启动账户权限调整;
改进方面:
1)所有服务器高危默认管理后台TOMCAT/JBOSS/WEBLOGIC等清理和访问限制;
2)开发、测试环境的变更调整规范,应用上线的严格审计和安全测试;
3)对攻击者所使用到的肉鸡,以及工具脚本等进行了一些研究与学习……
36
- 58. 遗忘角落
遗忘角落应急响应/渗透反击小结
应急方面:
1)根据WEB日志和当时人沟通等分析,确定入侵者所利用的漏洞;
2)所有服务器有引用STRUTS框架及版本信息汇总,确定影响面并版本升级;
3)当事服务器上基于纵向的WEBSHELL/ROOKIT的检测和清理;
改进方面:
1)公司业务应用范围内,三方/开源框架的引用信息的梳理;
2)对三方/开源框架做版本/补丁/漏洞等信息的跟踪;
3)经过最后信息收集人工汇总/技术确认:只存在这一个STRUTS,且版本过低;
58
- 61. 讨论时间
应急响应/渗透反击事后的反思
五次安全事件背后所暴露安全工作的问题:
1)信息资产识别,安全威胁、弱点、(风险)梳理不足。应避免存在遗漏;
2)安全工作中优先级把握不足。处理好“重要”与“紧急”的工作组合;
3)安全意识不足。需时刻关注网络安全发展趋势、态势,准确评估风险;
4)安全工作知易行难。需要在技术/沟通/政策层面保证执行过程与结果;
根据本次主题,分享您在企业安全工作中的成功或失败的经验与教训?
渗透讲究的是纵深,防御讲究的是整体。没有一劳永逸的安全措施,仅与渗透者赛跑
61